Phát hiện này được thực hiện bởi một nhóm các nhà nghiên cứu bảo mật đến từ Đại học Stony Brook và Công ty an ninh mạng Palo Alto Networks. Theo đó, họ đã chứng minh rằng kỹ thuật fingerprint mới giúp phát hiện bộ công cụ tấn công MITM trên thực tế, bằng việc tận dụng các thuộc tính của mạng nội bộ, tự động hóa hiệu quả phát hiện và phân tích các trang web lừa đảo.
Cách thức hoạt động của bộ công cụ lừa đảo MITM
Được đặt tên là “PHOCA”, theo tiếng Latinh có nghĩa là “seals”, tức là “con dấu” - công cụ này không chỉ giúp phát hiện các bộ công cụ lừa đảo để tấn công MITM, mà còn có thể được sử dụng để phát hiện và cô lập các request độc hại đến từ các máy chủ.
Các bộ công cụ lừa đảo tự động và hợp thức hóa các hành vi của tin tặc để thực hiện các chiến dịch đánh cắp thông tin xác thực. Chúng là các tập ZIP được đính kèm trong các email lừa đảo, cho phép tin tặc mạo danh các thực thể (ví dụ website chính thống) để đánh lừa nạn nhân nhằm lấy các thông tin cá nhân của họ.
Tuy nhiên, các dịch vụ trực tuyến hiện nay thường áp dụng xác thực hai yếu tố (2FA), cũng có nghĩa là các bộ công cụ lừa đảo truyền thống này không còn là phương pháp hiệu quả để tấn công vào các tài khoản được bảo vệ bởi 2 lớp xác thực.
Kiến trúc của framework được sử dụng để thu thập dữ liệu mạng trên các trang web lừa đảo MITM
Bộ công cụ lừa đảo MITM cho phép tin tặc đứng giữa nạn nhân và dịch vụ trực tuyến. Thay vì thiết lập một trang web giả mạo được phát tán qua email spam, tin tặc thường triển khai một trang web giả có nội dung như website mục tiêu, và hoạt động như một đường dẫn để chuyển tiếp các request và response giữa hai bên trong thời gian thực, do đó cho phép trích xuất thông tin xác thực và phiên cookie từ các tài khoản được xác thực 2 yếu tố.
Theo các nhà nghiên cứu Brian Kondracki, Babak Amin Azad, Babak Amin Azad, Oleksii Starov và Nick Nikiforakis của Đại học Stony Brook (Mỹ) cho biết: “Chúng có chức năng và hoạt động như các máy chủ reverse proxy, kết nối giữa nạn nhân và máy chủ web mục tiêu”.
Phương pháp do các nhà nghiên cứu đưa ra liên quan đến bộ phân loại học máy sử dụng các tính năng như fingerprint TLS, và sự khác biệt về thời gian mạng để phân loại các trang web lừa đảo được lưu trữ bởi bộ công cụ lừa đảo MITM trên các máy chủ reverse proxy. Đồng thời phương pháp này cũng bao gồm một framework thu thập dữ liệu để giám sát và theo dõi các URL đáng ngờ từ cơ sở dữ liệu phishing mã nguồn mở như OpenPhish và PhishTank.
Ý tưởng cốt lõi là đo lường độ trễ round-trip time (RTT) phát sinh bằng cách đặt một bộ công cụ lừa đảo MITM, do vậy, nạn nhân sẽ mất nhiều thời gian hơn để nhận được các response sau khi gửi request.
“Vì hai phiên HTTPS riêng biệt phải được duy trì để kết nối giữa nạn nhân và máy chủ web mục tiêu, tỷ lệ các gói RTT khác nhau, chẳng hạn như request TCP SYN/ACK và HTTP GET, sẽ cao hơn nhiều khi giao tiếp với máy chủ reverse proxy hơn là máy chủ web. Tỷ lệ này cao hơn nữa khi máy chủ reverse proxy chặn các request TLS, điều này đúng với bộ công cụ lừa đảo MITM”, các nhà nghiên cứu giải thích.
Vị trí địa lý của các trang web lừa đảo MITM
Trong một cuộc đánh giá thử nghiệm kéo dài 1 năm từ ngày 25/3/2020 đến ngày 25/3/2021, nghiên cứu đã phát hiện ra tổng cộng 1.220 trang web sử dụng bộ công cụ lừa đảo MITM, chủ yếu nằm rải rác ở Hoa Kỳ, Châu Âu và dựa vào các dịch vụ lưu trữ từ Amazon, DigitalOcean, Microsoft và Google. Một số thương hiệu được nhắm mục tiêu nhiều nhất bởi các bộ công cụ này bao gồm Instagram, Google, Facebook, Microsoft Outlook, PayPal, Apple, Twitter, Coinbase, Yahoo và LinkedIn.
Theo các nhà nghiên cứu nhận xét: “PHOCA có thể được tích hợp trực tiếp vào cơ sở hạ tầng web, chẳng hạn như các dịch vụ blocklist phishing, cũng như các trang web phổ biến để phát hiện các request độc hại bắt nguồn từ bộ công cụ lừa đảo MITM”.
Đinh Hồng Đạt
- Lê Thị Bích Hằng
10:00 | 04/11/2021
09:00 | 12/11/2021
15:00 | 18/10/2021
13:00 | 23/10/2024
Báo cáo Ransomware Zscaler ThreatLabz 2024 mới đây đã vạch trần nhóm tin tặc Dark Angels với khoản thanh toán tiền chuộc lớn nhất được biết đến trong lịch sử là 75 triệu USD vào đầu năm nay. Bài viết sẽ cùng giải mã, phân tích chi tiết hơn các chiến thuật, kỹ thuật và quy trình của nhóm tin tặc này, dựa trên báo cáo của hãng bảo mật Zscaler (Mỹ).
15:00 | 15/07/2024
Bài viết này giới thiệu tóm tắt nội dung tiêu chuẩn ISO/IEC 23264- 1:2021. Chi tiết về các thuộc tính của cơ chế mật mã để biên tập lại dữ liệu xác thực. Đặc biệt, nó xác định các quá trình liên quan đến các cơ chế đó, các bên tham gia và các thuộc tính mật mã.
07:00 | 03/11/2023
Một yếu tố quan trọng trong việc đảm bảo khả năng so sánh các kết quả của quá trình đánh giá, đó là người làm công tác đánh giá phải đảm bảo điều kiện kĩ thuật luôn đáp ứng khách quan và chủ quan. Do đó, năng lực của người đánh giá là rất quan trọng khi khả năng so sánh và tính lặp lại của các kết quả đánh giá là nền tảng để công nhận lẫn nhau. Bài viết sau giới thiệu tiêu chuẩn ISO/IEC 19896-3:2018 yêu cầu về kiến thức, kỹ năng và tính hiệu quả đối với đánh giá viên.
10:00 | 11/10/2023
Việc kiểm định, đánh giá chất lượng sản phẩm là kiểm tra, đánh giá sản phẩm đó có đạt được các yêu cầu về chất lượng theo các tiêu chuẩn, quy chuẩn kỹ thuật hay không. Để tạo ra kết quả chuẩn xác của một cuộc đánh giá cũng phụ thuộc nhiều vào yếu tố con người. Bài viết sau sẽ giới thiệu về tiêu chuẩn ISO/IEC 19896-2:2018 cung cấp các yêu cầu về chuyên ngành để chứng minh cho các yêu cầu về kiến thức, kỹ năng và hiệu quả của các cá nhân trong việc thực hiện các dự án kiểm tra an toàn phù hợp với các tiêu chuẩn TCVN 12211:2018 (ISO /IEC 24759) và TCVN 11295:2016 (ISO/IEC 19790) cung cấp chi tiết các yêu cầu an toàn đối với mô-đun mật mã.